ทดสอบ การสำเนาข้อมูลจาก Solid State Drives (SSD) จำนวน 2 ครั้ง
ตัวอย่างที่ 1
1. สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB ชนิด SATA
แสดงวิธีการทำสำเนาฮาร์ดดิสก์ชนิดโดยใช้อุปกรณ์ Forensic Duplicator ซึ่งมีสายดาต้า เชื่อมต่อไปยังพยานหลักฐานต้นฉบับที่อยู่ด้านซ้ายเพื่ออ่านข้อมูล และมีสายดาต้าอีกเส้นที่ต่อไปยังฮาร์ดดิสก์สำเนาที่อยู่ด้านขวาเพื่อเขียนข้อมูล
2. เก็บ Forensic Image ไว้ใน HD WD 500 GB
อุปกรณ์นี้มีจอแสดงผลซึ่งสามารถแสดงค่าแฮชเพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา และนอกจากนี้ก็ยังมีการสร้าง Log เพื่อบันทึกรายละเอียดที่เกี่ยวข้องทั้งหมด เช่น ข้อมูลรุ่น ยี่ห้อ Serial number ความจุ จำนวนและขนาดเซ็กเตอร์ เวลาเริ่มต้น/สำเร็จ ค่าแฮช เป็นต้น
Task: Disk to File
Status: Verified
Created: 2018-10-17 15:22
Closed : 2018-10-17 16:30
SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
MD5 : fd98f9338b277bc835bd2215a53f7559
Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ
1. สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB ทำซ้ำเหมือนตัวอย่างที่ 1
2.ค่า Hash ที่ได้
Task: Disk to File
Status: Verified
Created: 2018-10-17 17:12
Closed : 2018-10-17 18:19
SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
MD5 : fd98f9338b277bc835bd2215a53f7559
Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ
สรุป
ผลการทดสอบ การใช้อุปกรณ์ที่มีฟังก์ชั่นป้องกันการเขียนทับ (Write Blocker) ข้อมูลต้นฉบับ จะสามารถป้องกันการเข้าถึงและการเขียนข้อมูลลงหลักฐานจากเครื่องคอมพิวเตอร์ที่ตรวจสอบได้ แต่จะไม่สามารถป้องกัน การทำงานจาก Garbage Collection ที่เกิดจากชิป controller ใน SSD ได้
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#computerforensics
#digitalforensics#dforensic.blogspot.com
No comments:
Post a Comment